LightBasin (UNC1945) APT IOCs

security IOC

CrowdStrike Services, CrowdStrike Intelligence и Falcon OverWatch провели расследование множества вторжений в телекоммуникационный сектор. Эти атаки осуществлялись комплексным агентом, известным как LightBasin (или UNC1945), который был отслежен и идентифицирован силами CrowdStrike. Отмечается, что LightBasin успешно скомпрометировал несколько телекоммуникационных компаний по всему миру, начиная с 2019 года.

LightBasin основным образом работает с серверами на операционных системах Linux и Solaris, хотя также взаимодействует с системами Windows по мере необходимости. Это объясняется важностью телекоммуникационной инфраструктуры, использующей Linux и Solaris, а также недостатком безопасности и мониторинга этих систем. Первоначальный доступ LightBasin осуществлялся через внешние DNS-серверы (eDNS), которые являются частью сети GPRS и используются для роуминга между различными операторами связи. Затем агент использовал импланты и дополнительные средства для продвижения в сети и установки вредоносного программного обеспечения.

Во время расследования CrowdStrike были обнаружены различные действия LightBasin, включая использование импланта PingPong для обратного подключения к серверам других скомпрометированных компаний. Для этого использовался ICMP-трафик и специальная обратная оболочка, маскированная под процесс httpd. LightBasin также заменила легитимный файл iptables на троянизированную версию, чтобы затруднить обнаружение правил брандмауэра.

Агент также использовал программное обеспечение для эмуляции поддержки GPRS, чтобы обеспечить свою C2-активность и коммуникацию с TinyShell. SGSN, или точка доступа к GPRS-сети, была эмулирована для этой цели.

Обнаружение и расследование этих действий LightBasin позволило CrowdStrike собрать важные сведения о методах и тактиках этого агента. Безопасность телекоммуникационного сектора и улучшение мер по защите серверов Linux и Solaris стали приоритетом, чтобы предотвратить будущие атаки.

Indicators of Compromise

IPv4 CIDR

  • 139.162.156.0/24
  • 167.179.91.0/24
  • 172.104.129.0/24
  • 172.104.236.0/24
  • 172.104.79.0/24
  • 207.148.24.0/24
  • 45.32.116.0/24
  • 45.33.77.0/24
  • 45.76.215.0/24

SHA256

  • 05537c1c4e29db76a24320fb7cb80b189860389cdb16a9dbeb0c8d30d9b37006
  • 16294086be1cc853f75e864a405f31e2da621cb9d6a59f2a71a2fca4e268b6c2
  • 3a259ad7e5c19a782f7736b5ac50aac4ba4d03b921ffc6a3ff6a48d720f02012
  • 4480b58979cc913c27673b2f681335deb1627e9ba95073a941f4cd6d6bcd6181
  • 4668561d60daeb7a4a50a9c3e210a4343f92cadbf2d52caab5684440da6bf562
  • 65143ccb5a955a22d6004033d073ecb49eba9227237a46929495246e36eff8e1
  • 6d3759b3621f3e4791ebcd28e6ea60ce7e64468df24cf6fddf8efb544ab5aec0
  • 78c579319734a81c0e6d08f1b9ac59366229f1256a0b0d5661763f6931c3b63c
  • 917495c2fd919d4d4baa2f8a3791bcfd58d605ee457a81feb52bc65eb706fd62
  • 97d4c9b5750d614face73d11ba8532e53594332af53f4c07c1543195225b76eb
  • 9973edfef797db84cd17300b53a7a35d1207d166af9752b3f35c72b4df9a98bc
  • a388e2ac588be6ab73d7e7bbb61d83a5e3a1f80bf6a326f42b6b5095a2f35df3
  • ad9fef1b86b57a504cfa1cfbda2e2ac509750035bff54e1ca06f7ff311d94689
  • b06f52e2179ec9334f8a3fe915d263180e538f7a2a5cb6ad8d60f045789123b6
  • bf5806cebc5d1a042f87abadf686fb623613ed33591df1a944b5e7879fb189c8
  • c5ddd616e127df91418aeaa595ac7cd266ffc99b2683332e0f112043796ede1d
  • cdf230a7e05c725a98ce95ad8f3e2155082d5a6b1e839c2b2653c3754f06c2e7
  • e9c0f00c34dcd28fc3cc53c9496bff863b81b06723145e106ab7016c66581f72
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий